Trang SolarLeaks tuyên bố bán dữ liệu bị đánh cắp trong cuộc tấn công vào SolarWinds

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2017, 13/01/21, 11:01 AM.

  1. WhiteHat News #ID:2017

    WhiteHat News #ID:2017 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 331
    Đã được thích: 106
    Điểm thành tích:
    43
    SolarLeaks đang rao bán dữ liệu mà website này tuyên bố đã đánh cắp từ các công ty bị xâm nhập dữ liệu trong cuộc tấn công vào SolarWinds.
    Solarwinds-flare.jpg
    Tháng 12/2020, công ty cung cấp các sản phẩm quản lý mạng SolarWinds hứng chịu cuộc tấn công mạng tinh vi dẫn đến cuộc tấn công chuỗi cung ứng ảnh hưởng đến 18.000 khách hàng.

    Theo một tuyên bố chung do FBI, CISA và NSA đưa ra, cuộc tấn công này "có khả năng" được thực hiện bởi một nhóm tin tặc được chính phủ Nga hậu thuẫn với mục tiêu đánh cắp dữ liệu đám mây như email và tệp của các nạn nhân.

    Ngày 12/1, trang web solarleaks[.]net tuyên bố đang bán dữ liệu bị đánh cắp từ Microsoft, Cisco, FireEye và SolarWinds.

    Mã nguồn và kho lưu trữ của Microsoft bị rao bán với giá 600.000 USD. Microsoft xác nhận tin tặc đã truy cập mã nguồn của công ty này trong vụ xâm phạm dữ liệu SolarWinds.
    Anh 2.JPG
    Trang web này cũng tuyên bố đang bán mã nguồn của nhiều sản phẩm của hãng Cisco, đáng chú ý trong đó bao gồm công cụ phát hiện lỗ hổng nội bộ của hãng này.
    Anh 3.JPG
    Theo khuyến cáo mới được công bố cùng ngày, Cisco khẳng định đã biết website SolarLeaks và không có bằng chứng cho thấy kẻ tấn công đã đánh cắp được mã nguồn của công ty.

    Trang web cũng tuyên bố đang bán các công cụ bí mật của red team và mã nguồn mà FireEye tiết lộ đã bị đánh cắp trong cuộc tấn công với giá 50.000 USD.
    Anh 4.JPG
    Cuối cùng, mã nguồn SolarWinds và danh sách cổng thông tin khách hàng được bán với giá 250.000 đô la.

    Giá bán của tất cả dữ liệu bị rò rỉ là 1 triệu USD.

    Tương tự nhóm tin tặc Shadow Brokers, những kẻ đứng sau SolarLeaks tuyên bố bán dữ liệu bị đánh cắp theo gói và sắp tới sẽ có thêm dữ liệu được bán.

    Tên miền Solarleaks.net được đăng ký thông qua NJALLA, một công ty đăng ký tên miền mà các nhóm tin tặc Fancy Bear và Cozy Bear của Nga sử dụng.
    Anh 5.JPG
    Khi xem xét hồ sơ WHOIS của solarleaks.net, các máy chủ định danh gửi lại thông điệp chế nhạo các nhà nghiên cứu với tuyên bố "You Can Get No Info".
    Anh 6.JPG
    Hiện vẫn chưa xác nhận được trang web này có hợp pháp và chủ trang web có thực sự nắm trong tay dữ liệu đang rao bán.

    Chủ tịch của Rendition Infosec, Jake Williams cho biết việc mua bán nghiêng về dữ liệu có giá trị thương mại, chứ không phải thông tin tình báo bị đánh cắp từ các cơ quan chính phủ, có thể cho thấy đây là một nhóm tin tặc thực sự.
    Anh 7.JPG
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan